Em uma reviravolta preocupante, a Microsoft anunciou que não foi a única vítima do hack perpetrado por espiões do governo russo, revelado na semana passada.
Em uma nova postagem em seu blog, a Microsoft afirmou que “o mesmo ator tem visado outras organizações e, como parte de nossos processos habituais de notificação, começamos a notificar essas organizações visadas”.
Até o momento, não está claro quantas organizações foram alvo dos hackers apoiados pela Rússia. Quando questionado pelo TechCrunch sobre o número específico de vítimas notificadas até agora, um porta-voz da Microsoft se recusou a comentar.
A Microsoft identificou os hackers como o grupo conhecido como Midnight Blizzard, alegadamente vinculado ao Serviço de Inteligência Estrangeira da Rússia (SVR). Outras empresas de segurança os chamam de APT29 e Cosy Bear.
A intrusão foi detectada pela Microsoft em 12 de janeiro, com a campanha de hackers iniciada no final de novembro. Os hackers utilizaram um “ataque de pulverização de senha” em um sistema legado que não tinha autenticação multifator habilitada. Esse tipo de ataque ocorre quando os hackers tentam acesso de força bruta a contas usando senhas comuns ou uma lista de senhas de violações de dados anteriores.
Os hackers conseguiram acesso a uma pequena porcentagem de contas de e-mail corporativas da Microsoft após obterem acesso a uma conta no sistema legado. Ainda não está claro quantas contas de e-mail foram comprometidas.
Os alvos específicos dos hackers eram executivos seniores da empresa, além de pessoas que trabalham em departamentos como segurança cibernética e jurídico. Os hackers conseguiram roubar “alguns e-mails e documentos anexados”. Curiosamente, os hackers estavam interessados em descobrir informações sobre o que a Microsoft sabe sobre eles.
Recentemente, a Hewlett Packard Enterprise (HPE) revelou que seu sistema de e-mail hospedado pela Microsoft também foi alvo dos hackers da Midnight Blizzard. Embora não esteja claro se os dois incidentes estão relacionados, a HPE confirmou que os hackers “acessaram e exfiltraram dados” de uma “pequena porcentagem” de caixas de correio da empresa desde maio de 2023.
Adam R. Bauer, porta-voz da HPE, afirmou que, neste momento, não podem estabelecer uma conexão entre os incidentes relatados pela Microsoft e pela HPE.
As investigações continuam à medida que mais informações são divulgadas sobre essa ampla operação de espionagem cibernética.